Contenu connexe Similaire à OAuth認証再考からのOpenID Connect #devlove (20) OAuth認証再考からのOpenID Connect #devlove33. ID Token
認証イベントのアサーション (JSON Web Token)
iss – Issuer
sub – Subject, End-user Identifier
aud – Audience, Client ID
iat - issued at
exp - expiry
35. 誰が (issuer = IdP)
誰を (subject = end-user)
誰のために (audience = client)
認証したのか
36. ID Token Verification
Verify Signature (RSA-SHA256 etc.)
Verify Claims
iss => Expected IdP ?
aud => Own Client ID ?
iat => Within X mins ?
exp => Future ?
Get “sub”
39. UserInfo API
OAuth 2.0 対応の API Endpoint
レスポンスフォーマット標準化
ID 連携に必要なプロフィールデータは割と似てる
User ID, 氏名, ニックネーム, 生年月日, 住所 etc.
登録時だけ利用 ?
45. Discovery
WebFinger (RFC 7033)
GET /.well-known/webfinger?resource=***
OpenID Connect をサポートしてるかどうか
OP Config
GET /.well-known/openid-configuration
OpenID Connect の各 endpoint 等